56418 2025-10-16 10:38:05 +0300 При отличающихся hostname и имени NetBIOS у клиентов домена отсутствуют SPN `restrictedkrbhost/<Имя NetBIOS>.samba.testdomain` (а в setspn ещё и он же с `host/`) 2025-10-16 10:38:05 +0300 1 1 4 Development Sisyphus samba unstable x86_64 Linux NEW P5 normal --- 1 varaksaaa sin sin qa-sisyphus oldest_to_newest 274679 0 varaksaaa 2025-10-16 10:38:05 +0300 Шаги ==== 1. Развернуть домен Samba DC на ALT Server 11.0 x86_64 (minimal). 2. Ввести клиента с помощью alterator-auth (system-auth), например при помощи SSSD, указав `--netbiosname <Имя NetBIOS>`. 3. # net ads setspn list -UAdministrator (о требовании авторизации см. https://bugzilla.altlinux.org/55480) 4. # net ads keytab list Ожидаемый результат =================== 3. В setspn присутствуют SPN для всех комбинаций (регистр не важен): - host - restrictedkrbhost с - <hostname> - <hostname>.samba.testdomain - <Имя NetBIOS> - <Имя NetBIOS>.samba.testdomain (итого 8 шт) 4. В keytab присутствуют SPN для всех комбинаций (регистр не важен): - aes-128 cts mode with 96-bit sha-1 hmac - aes-256 cts mode with 96-bit sha-1 hmac - arcfour with hmac/md5 c - host - restrictedkrbhost с - <hostname> - <hostname>.samba.testdomain - <Имя NetBIOS> - <Имя NetBIOS>.samba.testdomain а также для каждого вида аутентификации/hash запись <Имя NetBIOS>$ без префикса host/restrictedkrbhost. (итого 27 шт; могут быть дубликаты с разным регистром символов) Фактический результат ===================== 3. В setspn: host/<hostname> host/<hostname>.samba.testdomain host/<Имя NetBIOS> restrictedkrbhost/<hostname> restrictedkrbhost/<hostname>.samba.testdomain restrictedkrbhost/<Имя NetBIOS> Нет `{host,restrictedkrbhost}/<Имя NetBIOS>.samba.testdomain` (как есть для <hostname>). 4. В keytab есть почти все перечисленные выше комбинации (при этом некоторые дублируются, если не учитывать регистр). Однако нет `restrictedkrbhost/<Имя NetBIOS>.samba.testdomain`. При этом *есть* `host/<Имя NetBIOS>.samba.testdomain` (несмотря на то, что в setspn нет и его). Дополнительно ============= При составлении ожидаемого результата исходил из того, что большинство из данных комбинаций действительно присутствуют и исходя из симметрии. Также учитывал то, что, если не использовать `--netbiosname`, то вывод соответствует ожидаемому и фактически присутствуют все SPN (и для hostname, и для имени NetBIOS, потому что hostname и имя NetBIOS в таком случае совпадают (не учитывая регистр)). Также см.: - Изменение `4afd1a346 system-auth: ad: replace SPN registrations with keytab regeneration for Samba 4.21+ compatibility` https://git.altlinux.org/gears/a/alterator-auth.git?p=alterator-auth.git;a=commitdiff;h=4afd1a346e37b7d18e14809e4a3bcef45f115ecc - Исправление HOST -> host (только в setspn) для корректной работы OpenSSH: https://git.altlinux.org/gears/s/samba.git?p=samba.git;a=commitdiff;h=fec26635bdccc9053acb4de28633525bf5cfa6f0 Воспроизводимость ================= Воспроизводится на виртуальных машинах: [sisyphus] ALT Server 11.0 x86_64 (minimal) + ALT Workstation 11.1 x86_64 samba-4.21.8-alt4 alterator-auth-0.48-alt1 [p11] ALT Server 11.0 x86_64 (minimal) + ALT Workstation 11.1 x86_64 samba-4.21.7-alt4 alterator-auth-0.48-alt1